Informationssicherheit geht alle an. Jedes Unternehmen besitzt, verarbeitet und kommuniziert Informationen oder Daten, die es zu schützen gilt. Wenn diese Informationen oder Daten in falsche Hände geraten, nicht mehr zur Verfügung stehen oder verfälscht werden, entstehen dadurch in der Regel Schäden für das Unternehmen, die von geringen Schäden (z.B. als zeitlicher Arbeitsaufwand) bis hin zu großen wirtschaftlichen Schäden und Schäden an der Reputation bei Kunden und Geschäftspartnern reichen können.
IT-Sicherheit versus Informationssicherheit
Der Begriff IT-Sicherheit meint den sicheren Betrieb von IT-Infrastrukturen und Geräten. Dabei geht es um technische Maßnahmen, die den IT-Betrieb auf möglichst sichere Weise gestalten sollen.
Im Bereich der Informationssicherheit geht es unter anderem darum, Risiken zu ermitteln, zu bewerten und so zu
behandeln, dass von ihnen eine geringere und akzeptierbare Gefahr ausgehen. Es geht um Menschen, Unternehmenswerte, Kommunikation, Daten und Informationen, IT und Gebäude/Räume und um viele andere Themen mehr.
Die Sichtweise der IT-Sicherheit greift zu kurz und betrachtet nur einen kleinen Teil der Gefährdungen für Informationen und Daten, während die Informationssicherheit eine Globale Sicht auf das Unternehmen einnimmt. Sie blickt auf das Innen (das Unternehmen selbst) und auf das Außen (Kunden, Partnern, Lieferanten, Behörden, Gesetze und Verträge u.s.w.).
Informationssicherheit hat viele Antriebe
Datenschutz (EU-DSGVO)
Die Datenschutzgrundverordnung DSGVO gilt für alle Unternehmen in der EU und fordert technische und organisatorische Maßnahmen (EU-DSGVO Art. 24 Abs. 1), um sicherzustellen und den Nachweis erbringen zu können, dass die Verarbeitung personenbezogener Daten gemäß der DSGVO erfolgt. Zudem spielen nahezu alle Vorgaben der DSGVO in das Thema Informationssicherheit hinein.
Kritische Infrastrukturen (KRITIS)
Für kritische Infrastrukturen gelten mehrere miteinander verwobene Gesetze und Verordnungen, die auch das Thema Informationssicherheit behandeln (z.B. IT-Sicherheitsgesetz 2.0, BSI-Gesetz, Energiewirtschaftsgesetzt, Telekommunikationsgesetz, Telemediengesetz und andere).
Banken
Für Banken sind neben den Forderungen aus KRITIS auch die “Bankaufsichtliche Anforderungen an die IT” (BAIT) maßgeblich, die sich auf Paragraf 25a des Kreditwesengesetzes (KWG) stützen und die von der BaFin vorgegeben sind.
Digitale Gesundheitsanwendungen (DiGA)
Für Anbieter von DiGAs ist die “Digitale Gesundheitsanwendungen-Verordnung” (DiGAV) maßgeblich, die durch das “Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz” (DVPMG) ergänzt wurde. Gefordert werden Nachweise zur Datensicherheit, ein IT-Sicherheitsmanagementsystem und in Verbindung mit der digitalen Patientenakte, digitaler Kommunikation (z.B. Video-Sprechstunden) und der Anbindung an die Telematikinfrastruktur noch weitere Anforderungen. In der Summe sind Anbieter von DiGAs zur Sicherstellung der Informationssicherheit und den Nachweis darüber verpflichtet.
[…]
Geschäftstätigkeiten werden zunehmend global – andere Länder, andere Sitten. Wer Aktivitäten in anderen Ländern ausführt, muss sich um die dortige Gesetzgebung kümmern und diese einhalten.
Ein Unternehmen hat Ziele, Visionen, Gründe dafür, warum das Unternehmen existiert, und es ist bestrebt, das geschäftliche Treiben so zu gestalten, dass die Ziele und Visionen erreicht werden und dass die Existenz des Unternehmens nicht gefährdet wird. Dies geschieht in der Regel so, dass daraus Vorgaben für die Unternehmensbereiche abgeleitet werden und daraus wiederum Vorgaben für Abteilungen, Gruppen und einzelne Mitarbeiter.
Beispielsweise können aus der Vorgabe, Gesetze einzuhalten, Prozesse in der Personalabteilung entstehen, welche die Forderung zum Datenschutz umsetzen. Oder es entstehen Standards, die z.B. in der IT-Abteilung dafür sorgen, dass eine Datenkommunikation oder eine Datenspeicherung verschlüsselt wird.
Kunden, Lieferanten, Dienstleister und andere Parteien können Vorgaben zur Informationssicherheit an ein Unternehmen herantragen, die es für eine Zusammenarbeit zu erfüllen gilt.
Beispiele:
Der Verband der Automobilindustrie (VDA) hat den Standard TISAX in 2017 veröffentlicht und mehrfach überarbeitet. Für bestimmte Lieferanten von Automobilherstellern ist TISAX maßgeblich.
Rechenzentren verlangen von Ihren Kunden mitunter die Einhaltung von Sicherheitsprozessen z.B. für den Zutrittsantrag von Mitarbeitern und für den Zutritt zu angemieteten Server-Racks selbst.